Vejledning til anvendelse af cloud
Vejledning til anvendelse af cloudservices hjælper myndigheder med at beslutte, hvornår cloudservices er en god idé. Vejledningen gennemgår de forretningsmæssige, juridiske og sikkerhedsmæssige overvejelser, som myndigheder bør gøre sig ved anvendelsen af cloudservices.
Hvilke overvejelser bør en myndighed gøre sig i forbindelse med anskaffelsen af en cloudservice? Det adresserer denne cloudvejledning. Anvendelsen af cloud-services kan i mange situationer være attraktiv for danske myndigheder til udvikling og drift af it-løsninger Men anvendelse af cloudservices forudsætter, at myndighederne foretager en række forretningsmæssige, juridiske og informationssikkerhedsmæssige afklaringer forud for anvendelsen.
Derfor har Digitaliseringsstyrelsen og Center for Cybersikkerhed udgivet en vejledning om anvendelse af cloudteknologier i offentlige myndigheder, som kan guide myndigheder i at kunne anvende denne teknologi. Vejledningen har til formål at understøtte en beslutningsproces om, hvornår cloudservices kan anvendes, således at offentlige myndigheder ikke oplever usikkerhed som en selvstændig barriere for brugen af cloudservices.
Hvad er cloudservices, og hvilke overvejelser bør myndigheder gøre sig?
Cloudservices kan bidrage til hurtigere it-udvikling, mere effektiv skalering, og et højt sikkerhedsniveau. Cloud bygger nemlig på fleksibel deling af ressourcer, hvor du kun betaler for det, du bruger. Det kan udnyttes, hvis man oplever udsving i belastningen af ens systemer. Derudover drives cloud ofte i meget stor skala, der giver mulighed for at etablere samlede sikkerhedsløsninger på leverandørernes datacentre.
Vejledningen gennemgår, hvad cloud er og hvad de mest udbredte service- og leverancemodeller indebærer. Efter at have etableret en forståelse af hvad cloud er, og hvorfor det kan være en god ide at anvende teknologien, kaster vejledningen lys over de centrale juridiske spørgsmål og hvordan man kan forholde sig til informationssikkerhed, når man rykker sin applikation til skyen.
Opdatering til version 1.1
Den Europæiske Unions Domstol har den 16. juli 2020 afgjort, at EU-U.S. Privacy Shield ikke er et gyldigt grundlag for overførsel af persondata til USA. Vejledningen i anvendelse af cloudservices er opdateret for at afspejle denne afgørelse. Vejledningen vil blive opdateret, når eventuelle yderligere konsekvenser af dommen er klarlagt. Der henvises til Datatilsynet for yderligere information.
Du kan finde det Europæiske Databeskyttelsesråds FAQ om dommen på datatilsynet.dk
Nyt overførselsgrundlag efter Schrems II
EU og USA har indgået aftale om EU-US Data Privacy Framework. Med afsæt i aftalen har EU-Kommissionen truffet en tilstrækkelighedsafgørelse, som kan anvendes som overførselsgrundlag ved overførsler af personoplysninger fra EU til USA. Tilstrækkelighedsafgørelsen kan dog alene anvendes som overførselsgrundlag, når man agter at overføre personoplysninger til organisationer i USA, der har certificeret sig under EU-U.S. Data Privacy Framework hos det amerikanske handelsministerium.
Du finder mere information om EU-U.S. Data Privacy Framework hos Datatilsynet